Publié le 23/03/2018 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
L'an dernier, nous avons publié plusieurs articles au sujet de notre réseau mondial de honeypots, et sur la façon dont nos capteurs nous aident à surveiller l'écosystème des cyber menaces, pour avoir une idée précise de l'évolution de ces attaques. Nous avions alors publié les données relatives à ces observations, pour le premier semestre 2017. Voici, aujourd'hui, les données correspondant au deuxième semestre.
Les Honeypots sont des "leurres", des serveurs utilisés pour piéger les pirates. Ils attirent leur attention en offrant, en apparence, des éléments susceptibles de les intéresser. Nous surveillons ensuite ces serveurs pour recueillir des informations importantes concernant le trafic web auquel sont soumis ces serveurs.
Les données du second semestre restent similaires à celles du 1er semestre. La Russie est toujours la principale source de trafic d'attaque. L'Allemagne, les États-Unis et la Chine apparaissent toujours dans le peloton de tête, même si leur trafic est beaucoup moins important que celui de la Russie.
Cette fois, en revanche, la France a surpris en occupant la deuxième place : ce résultat, selon nos analystes, est probablement dû au piratage d'appareils connectés français, et à la tentative de propagation de l'infection via ces mêmes appareils. Une campagne d'attaques menées en juillet sur le port 1900 (SSDP/UPnP) traduit en effet l'exploitation de vulnérabilités présentes sur des périphériques français IoT(objets connectés)/Plug' n Play.
Les Etats-Unis restent comme toujours la principale cible des attaques, l'Allemagne occupant la deuxième position. Les résultats de l'Allemagne sont liés à un pic d'activité des PME sur le port 445.
Les attaques via SSH indiquent des tentatives d'accès distant, telles que les tentatives de connexion en tant que root ou administrateur. Concernant le trafic SSH, nous considérons la Russie comme leader incontesté. Ce semestre, la majorité des attaques en provenance de Russie ont été réalisées via SSH. La moitié d'entre elles étaient dirigées vers les États-Unis (cette tendance se retrouve de facto dans le classement par pays-cibles).
Le port le plus fréquemment utilisé était le port 22, SSH, suivi par le port 1900, utilisé par les cyber attaques ciblant les objets connectés français. Le port SMB 445, troisième port le plus souvent sondé, indique que les pirates continuent à tirer profit des exploits Eternal, qui ont échappés à la NSA.
En consultant notre classement « Qui attaque qui ? », vous constaterez sans surprise qui occupe la tête du classement.
Les données sur nos honeypots nous offrent un aperçu d'une grande précision sur les cyber menaces. Que nous disent-elles sur les risques encourus par les organisations ?
Le constat est sans ambiguïté : les attaques sans fichier sont en hausse.
Le Ponemon Institute prévoit que 35 % des cyber attaques en 2018 seront des attaques sans fichier. Cela représente une augmentation de 6 % par rapport aux prévisions qui avaient été réalisées pour 2017. Le Ponemon Institue ajoute que la probabilité de succès de ces attaques sans fichiers est dix fois supérieure à celle des cyber attaques traditionnelles.
Une étude SANS a révélé que 32 % des organisations déclaraient avoir été témoins de cyber attaques sans fichier, impliquant des méthodes telles que l'escalade des privilèges, le vol d’identifiants administrateurs, les attaques de script Powershell ou les mouvements latéraux. Ce chiffre reflète seulement ce que les organisations détectent.... Mais puisque ces attaques ont une probabilité de succès nettement supérieure, qu'en est-il des attaques non-détectées ?
Si vous souhaitez obtenir plus de visibilité sur votre propre réseau, n'hésitez pas à vous informer sur les solutions de détection et d'intervention pour les postes de travail (EDR).
Les Honeypots sont des "leurres", des serveurs utilisés pour piéger les pirates. Ils attirent leur attention en offrant, en apparence, des éléments susceptibles de les intéresser. Nous surveillons ensuite ces serveurs pour recueillir des informations importantes concernant le trafic web auquel sont soumis ces serveurs.
Les données du second semestre restent similaires à celles du 1er semestre. La Russie est toujours la principale source de trafic d'attaque. L'Allemagne, les États-Unis et la Chine apparaissent toujours dans le peloton de tête, même si leur trafic est beaucoup moins important que celui de la Russie.
Cette fois, en revanche, la France a surpris en occupant la deuxième place : ce résultat, selon nos analystes, est probablement dû au piratage d'appareils connectés français, et à la tentative de propagation de l'infection via ces mêmes appareils. Une campagne d'attaques menées en juillet sur le port 1900 (SSDP/UPnP) traduit en effet l'exploitation de vulnérabilités présentes sur des périphériques français IoT(objets connectés)/Plug' n Play.
Les Etats-Unis restent comme toujours la principale cible des attaques, l'Allemagne occupant la deuxième position. Les résultats de l'Allemagne sont liés à un pic d'activité des PME sur le port 445.
Les attaques via SSH indiquent des tentatives d'accès distant, telles que les tentatives de connexion en tant que root ou administrateur. Concernant le trafic SSH, nous considérons la Russie comme leader incontesté. Ce semestre, la majorité des attaques en provenance de Russie ont été réalisées via SSH. La moitié d'entre elles étaient dirigées vers les États-Unis (cette tendance se retrouve de facto dans le classement par pays-cibles).
Le port le plus fréquemment utilisé était le port 22, SSH, suivi par le port 1900, utilisé par les cyber attaques ciblant les objets connectés français. Le port SMB 445, troisième port le plus souvent sondé, indique que les pirates continuent à tirer profit des exploits Eternal, qui ont échappés à la NSA.
En consultant notre classement « Qui attaque qui ? », vous constaterez sans surprise qui occupe la tête du classement.
Les données sur nos honeypots nous offrent un aperçu d'une grande précision sur les cyber menaces. Que nous disent-elles sur les risques encourus par les organisations ?
Le constat est sans ambiguïté : les attaques sans fichier sont en hausse.
Le Ponemon Institute prévoit que 35 % des cyber attaques en 2018 seront des attaques sans fichier. Cela représente une augmentation de 6 % par rapport aux prévisions qui avaient été réalisées pour 2017. Le Ponemon Institue ajoute que la probabilité de succès de ces attaques sans fichiers est dix fois supérieure à celle des cyber attaques traditionnelles.
Une étude SANS a révélé que 32 % des organisations déclaraient avoir été témoins de cyber attaques sans fichier, impliquant des méthodes telles que l'escalade des privilèges, le vol d’identifiants administrateurs, les attaques de script Powershell ou les mouvements latéraux. Ce chiffre reflète seulement ce que les organisations détectent.... Mais puisque ces attaques ont une probabilité de succès nettement supérieure, qu'en est-il des attaques non-détectées ?
Si vous souhaitez obtenir plus de visibilité sur votre propre réseau, n'hésitez pas à vous informer sur les solutions de détection et d'intervention pour les postes de travail (EDR).